SAM 총 사용 메트릭에 대한 Osqueryd 로그 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 기본적으로 Osquery는 크기에 따라 로그 회전을 지원합니다. SAM 총 사용 메트릭에 사용하도록 설정하고 로그 크기 및 회전을 구성하려면 Osqueryd 서비스에 대한 특정 플래그를 추가해야 합니다.

    시작하기 전에

    필요한 역할: admin

    주:
    Osqueryd가 있는 SAM은 메모리와 CPU 주기를 소비합니다. 예를 들어 CPU 코어 2개, RAM 8GB, 소프트웨어 설치 1,000개, 실행 중인 프로세스 500개가 있는 Windows 머신에 설치된 에이전트에서는 다음이 관찰되었습니다.
    • 에이전트 및 Osqueryd의 평균 CPU 사용량은 10% 미만이고 최대 30%였습니다. 이는 SAM 백그라운드 정책이 트리거될 때만 발생합니다. 기본적으로 트리거는 480초마다 발생합니다.
    • 에이전트 및 Osqueryd의 평균 메모리 사용량은 10MB 미만이고 최대 26MB가 사용되었습니다.
    2일 동안 실행 중인 단일 프로세스에 대한 데이터를 저장하려면 평균 로그 파일 크기는 52429바이트여야 합니다. 머신에서 실행 중인 프로세스 수가 많을 경우 로그 파일 크기를 늘려야 합니다. 예를 들어 실행 중인 프로세스가 500개인 경우 로그 크기는 평균 25MB(26214400바이트)입니다.

    프로시저

    1. 다음으로 이동 Osqueryd 설치 폴더.
    2. osquery.flags 파일을 찾아 편집합니다.
    3. 다음 크기 조정 지침을 사용하여 아래 플래그를 추가합니다.
      주:
      로그 파일 크기를 수정하는 작업은 Osqueryd Log 파일 크기 조정 지침에 따라 수행해야 합니다.
      Windows의 경우:
      • --logger_rotate=true
      • --logger_rotate_size=26214400
      • --logger_rotate_max_files=1
      • --watchdog_level=1
    4. 파일을 저장합니다.

    결과

    Osqueryd 일정과 Osqueryd 로그가 구성되면 Osqueryd 서비스가 시작될 수 있습니다.

    일정에서 Osquery(Select name, pid, elapsed_time, start_time, user_time, system_time, username from processes p JOIN users u ON u.uid = p.uid where p.elapsed_time != -1 AND u.type !='special';")를 실행합니다. 대상 머신에서 5분(300초)마다 실행됩니다. 그러면 로그 파일에 결과가 로깅됩니다. 로그 파일에는 Osqueryd로 실행하도록 구성된 모든 쿼리의 스냅샷 항목이 포함되어 있습니다. 이 쿼리에는 모든 프로세스 속성이 포함됩니다.

    주:

    임시 파일 marker.json이 머신의 임시 로컬 폴더 디렉터리에 생성됩니다.

    Windows 용: <userprofile>\\AppData\\Local\\AgentClientCollector\\SAM

    이 파일에는 읽기/쓰기 권한이 있으며 마커 데이터 Data and Last Read Unix Time stamp가 포함되어 있습니다.

    기본 디렉터리 대신 사용자 지정 디렉터리 경로에 로그를 쓰도록 Osqueryd를 구성할 수도 있습니다. 사용자 지정 디렉터리를 선택하는 경우 검사 정의 [samadvanced-background-log-check]를 수정합니다.